Tietoturvamanuaali, osa 2 – Suojattu tietoliikenne

Viisiosaisena artikkelisarjana julkaistavan manuaalin toinen osa keskittyy sähköpostiin, tekstiviesteihin ja varmennuksiin.

Teknologia

Tietoturvaosaaminen on tärkeä kansalaistaito.

Partisaani julkaisee suomennoksen Opsecgoyna tunnetun valkoisen aktivistin tietoturvaoppaasta ja katsastuslistasta. Erityisesti nuoremman polven toimijoille suunnattu suomennos sisältää alkuperäisteoksen anteeksipyytelemättömän nettislangin ja kielenkäytön. Viisiosaisena artikkelisarjana julkaistavan manuaalin toinen osa keskittyy sähköpostiin, tekstiviesteihin ja varmennuksiin.

Lue myös sarjan ensimmäinen osa:

Tietoturvamanuaali, osa 1 – Esittely, OS, VPN ja sormenjäljet

SUOJATTU TIETOLIIKENNE
Salaa sähköpostisi

Jos olet juuri kirjoittamassa sähköpostia tovereillesi Gmaililla, lopeta. Nyt heti.

Sinun on kitkettävä kaikki anti-valkoinen valtavirtaisuus pois elämästäsi. Gmail tulee vakoilemaan sinua niin paljon kuin mahdollista, ja kun aika koittaa, he auttavat ilomielin maasi hallitusta saamaan sinut telkien taakse ajatusrikoksista. Tämä ei ole leikin asia! Sinun pitää päästä eroon tästä roskasta ja aloittaa puhtaalta pöydältä.

Suosittelen aina Protonmailia (https://protonmail.com/) ja seison vieläkin sanojeni takana kirjoittamisen hetkellä (alkuvuonna 2020). Jutun juju on, että haluat PGP-salata sähköpostisi itse jo ennen lähettämistä. Muista yhdistää sähköpostitarjoajaan anonyymisti. Tähän suosittelen käyttämään heidän piilopalveluaan (https://protonirockerxow.onion/) Tor-selaimella (https://www.torproject.org/download/).

Perehdytäänpä PGP-salaukseen!

Ensin pitää luoda PGP-avainpari. Jos tarvitset apua, niin kysy, tai jos on antelias olo, voit tehdä lahjoituksen meille ja me lähetämme sinulle yksityiskohtaisen 46-sivuisen oppaan PGP:stä. Voit myös vapaasti etsiä vastauksia netistä.

Preferoin GnuPG:n käyttöä terminalista.* Eli avaisin terminalin ja suorittaisin seuraavan komennon luodakseni uuden avaimen perustuen elliptisten käyrien salausmenetelmään (ECC)…

gpg --expert --full-gen-key

Tässä valitset ECC and ECC.

Seuraavaksi tuo ja säilytä avaimiasi turvallisesti. Älä ikinä anna kenellekään salaista avaintasi. Jos annat, he voivat lukea kaikki viestisi. Näin minä tuon salaisen avaimen…

gpg -a --export-secret-keys > secretkey.asc

Seuraavaksi tuo julkinen avaimesi. Tämä on se avain, jonka annat tovereillesi viestien salaamiseen.

gpg -a --export > publickey.asc

Nyt löydät avaimesi nykyisestä hakemistosta. Jos et tiedä missä hakemistossa olet, niin kirjoita vain pwd ja paina enter.

Näitä avaimia pitäisi säilyttää salatusti erillisellä muistivälineellä ja sinulla pitäisi olla muutamakin varmuuskopio laiterikkojen varalta.

Nyt sinun täytyy tuoda tovereidesi PGP-avaimet. Voit löytää joitain PGP-avaimia hakemistostamme Tor-selaimella.

Tuodaksesi heidän avaimensa sinun täytyy ensiksi tallentaa avaimet tietokoneellesi. Sitten syötät tämän komennon terminaliin…

gpg --import nameofkeyfile.asc

Ja siinä se!

Nyt olet valmis kirjoittamaan viestin. Näin minä teen sen…

echo "hello world" | gpg -ear [email protected]
> encryptedMessage.pgp

Siinä missä ”hello world” on salattava viesti, ja [email protected] on avaimeen liitetty sähköpostiosoite, johon haluan lähettää salatun viestini, ja encryptedMessage.pgp on kansio, johon salattu viesti säilytetään. Kun syötät tämän komennon, viestisi säilötään encryptedMessage.pgp ‑kansioon. Voit joko avata tekstieditorilla ja kopioida/liittää sisällön sähköpostiin tai lähettää sellaisenaan.

Huomio: Voit myös valita vastaanottajan avaimen keyid:n avulla (heidän sähköpostiosoitteensa sijaan) seuraavanlaisella komennolla…

gpg --list-keys

* Suomentajan huomio: Pgp-avainten hallintaan löytyy myös Linuxille suositeltava graafinen käyttöliittymä.

TEKSTAAMINEN
Tekstiviestien turvaaminen

Kun lähetät tekstiviestin puhelimestasi, viesti lähtee salaamattomana. Viestin metadata ja viesti itsessään imaistaan massiiviseen valvontakoneistoon, joka vihaa sinua ja kansaasi. Tällä koneistolla on jonain päivänä mahdollisuus skannata nopeasti kaikki viestit massiivisesta kokoelmastaan ja määrittää kuka on syyllistynyt rikolliseen ajatteluun. Jumalan valittu kansa on ennenkin jäänyt kiinni IMSI-kaappaimien käytöstä vakoillakseen ihmisiä. Sinun täytyy liitää tutkan alla ja lopettaa salaamattomien viestien lähettely. Ne ovat hirveitä toiminnan ja turvallisuuden kannalta. Onneksi on olemassa muutamia sovelluksia, jotka voivat auttaa tässä.

Ensimmäinen ja helpoin on nimeltään Signal (https://www.signal.org/). Tämä vaatii puhelinnumeron ja EN SUOSITTELE käyttämään oikeaa numeroa, vaan jotain muuta hallinnoimaasi numeroa. Varmista, että tämä numero ei ole mitenkään muuten yhdistettävissä sinuun. Muuten heität hukkaan koko Signalin pointin. Tämä toimii vain jos viestisi vastaanottajakin käyttää Signalia. Joten käske tovereidesikin asentaa sovellus ja aloittaa turvallinen viestittely. Voit myös asettaa ajastimen pyyhkimään viestit automaattisesti pois.

Seuraava sovellus on verrattain uusi tämän oppaan kirjoittamisen aikana. Se on saman valmistajan sovellus ja väittää olevansa parempi versio siitä. Sovellus on nimeltään Session (https://getsession.org/) ja se on keskittämätön versio Signalista, joka väittää että sillä ei ole aavistustakaan henkilöllisyydestäsi. Sovelluksessa on myös anonymisoivia ominaisuuksia ja parasta on, että se ei vaadi puhelinnumeroa.

Huomio: Matkapuhelin on todennäköisesti ihmiskunnan historian paras vakoilulaite ja ne ovat vuosi vuodelta parempia siinä. Jo käyttöluonteensa vuoksi matkapuhelimet eivät ole ikinä yksityisiä. Tukiasemien jäljitys ja sijaintisi kartoitus ja data määrittelemättömältä ajalta yhdessä langattomien jäljityksien kanssa tekevät anonyyminä pysyttelyn äärimmäisen vaikeaksi. Jos tavoittelet täydellistä anonyymiyttä, on parasta rajoittaa vuorovaikutusta tuollaisten välineiden kautta tai ainakin rajoittaa niiden pääsyä tietoihisi. Tämä on monimutkaisempi aihe, josta voi jutella lisää muita kanavia pitkin.

* Suomentajan huomio: Päästä päähän salattu Wire on myös suositeltava pikaviestisovellus. Asentaessa sovellus tarvitsee vain sähköpostin, joksi kelpaa vaikka internetin väliaikaissähköposti, kuten tempmail, 10 minute mail tai guerillamail. Toinen vastavaa sovellus, Wickr, ei vaadi mitään yhteystietoja. Jatketaan.

VARMENNUKSET
Valenumerot

Monet sovellukset Telegramista Signaliin, ja jopa jotkut sähköpostipalvelut, vaativat sinua antamaan puhelinnumeron, jotta ne voivat lähettää sinulle varmistustekstiviestin, jotta ne tietävät sinun olevan oikea ihminen. Tämä on jälleen yksi tapa loukata yksityisyyttäsi ja mitä enemmän rekisteröidyt samaa oikeaa numeroasi käyttäen, sitä suuremman jäljen luot itsestäsi. Sen sijaan, että annat oikean numerosi kuin mikäkin ääliö, anna heille katoavainen numero.

On miljoonia tapoja hankkia väliaikainen numero netistä. Kuten Quackrin (https://quackr.io/), TextNow:n (https://www.textnow.com/), Burner appin (https://www.burnerapp.com/) ja Hushed appin (https://hushed.com/) kaltaisten sovellusten käyttö. Voit myös etsiä hakusanoin ”Free receive sms” ja löydät laajan valikoiman palveluita, mutta onnesi tulee vaihtelemaan. Jos haluat jotain vakavampaa, voit etsiä määräaikasia SIM-kortteja. Jotkin operaattorit tarjoavat määräaikaisia SIM-kortteja, jotka antavat palveluistaan lyhytaikaisen ilmaisen kokeilujakson, tarjoten rutkasti aikaa tarvitsemiesi käyttäjätilien varmistuksiin.**

** Suomentajan huomio: Kehoitan yleensä varovaisuuteen alkuperäisen kirjoittajan väläyttämän SIM-korttikikkailun kanssa. Suomalainenkin rikoshistoria on täynnä esimerkkejä, joissa epäiltyjen jäljille on päästy seuraamalla puhelimen IMEI-koodia, joka pysyy samana SIM-korttien vaihtelusta huolimatta. Ei ole mitään syytä epäillä, etteikö jatkuvasti politisoituva poliisi seuraa myös kansallismielisten aktivistien laitteita tällä keinolla.

KATSASTUSLISTA

4. PGP-salaa sähköpostisi
5. Tekstaa Signal ‑tai- Session ‑sovelluksilla
6. Käytä väliaikaisia puhelinnumeroita/sähköpostiosoitteita varmennuksiin

Käyttöjärjestelmät Ohje Opsecgoy Teknologia Tietoturva

Keskustelu

2 kommenttia

  • anon

    Vastaa

    Jokaisessa puhelinkeskuksessa on päätelaitteiden valvonnan mahdollistava rajapinta jolla viranomainen pystyy valvomaan mitä tahansa puhelin- ja dataliikennettä. Valvonta voidaan tehdä usealla eri uniikilla tunnisteella kuten IMSI (SIM-kortti), IMEI (päätelaite/kännykkä) tai MSISDN (puhelinnumero). Kaikkea päätelaitteen signallointia ja itse data-liikennettä pystytään valvomaan ja tallentamaan.

    Länsimaissa yhtäaikaisten valvottujen päätelaitteiden määrä on suhteellisen pieni. Tämä riippuu operaattorin investoinneista. Voi olla, että vain 50–200 päätelaitetta voidaan valvoa saman aikaisesti. Tai sitten kyse voi olla muutamasta tuhannesta päätelaitteesta. Kolmansissa maissa kuten Kiinassa kerätään todennäköisesti kaikki tele-liikenne kaikkialta. Ainakin Kiina vaatii tele-laitteisiin ominaisuuksia jolla tämä voidaan tehdä.

    Yleensä valvontaan pitää olla oikeuden määräys. Valvontakeskuksissa on yleensä erotettu valvonnan aktivointi ja valvotun liikenteen tallennus toisistaan. Tämä tarkoittaa sitä, että sama työntekijä ei yleensä pysty aktivoimaan ja tutkimaan tallennettua liikennettä.

    Tässä on kyse siis koko tele-liikenteen valvonnasta. Jutussa mainittu meta-datan keräys on eri asia. Se on paljon kevyempää ja ei erittäin todennäköisesti sisällä itse tele-signallointia ja dataa. Kerätyn tiedon määrä olisi niin valtava, että siihen ei ole mahdollisuutta muuten kuin Kiinalla ja Jenkeillä osittain.

  • spora jokke

    Vastaa

    ja symmetrinen salaus salasanalla

    7‑Zip
    https://www.7‑zip.org/

    Win32/Win64 OpenSSL Installer for Windows – Shining Light .
    https://slproweb.com/products/Win32OpenSSL.html
    3MB Installer

    The GNU Privacy Guard
    https://gnupg.org/download/index.html
    GnuPG binary releases
    Simple installer for GnuPG 1.4

    pakkaa yksi tai monta tiedostoa 7z:lla ja salaa se gpg tai openssl

    set bin0=C:\Program Files\7‑zip\7z.exe
    ”%bin0%” a ‑t7z ‑mmt ‑mhc ‑mhe ‑mx9 ‑p ”C:\7Zip\Pakattu.7z” ”C:\Windows\Explorer.exe”
    ”%bin0%” a ‑t7z ‑r ‑mmt ‑mhc ‑mhe ‑mx9 ‑p ”C:\7Zip\Media.7z” ”C:\Windows\Media\*”

    set bin1=C:\Program Files (x86)\GNU\GnuPG\gpg.exe
    set cmd_1=–armor –cipher-algo AES256 –digest-algo SHA512 –compress-algo ZIP –force-mdc –s2k-count 65011712
    ”%bin1%” %cmd_1% –output ”C:\GPG\Pakattu.gpg.asc” –symmetric ”C:\7Zip\Pakattu.7z”
    ”%bin1%” –list-packets –list-only ”C:\GPG\Pakattu.gpg.asc”

    set bin2=C:\Program Files (x86)\OpenSSL-Win32\bin\openssl.exe
    set cmd_2=aes-256-cbc ‑e ‑a ‑salt ‑md sha3-512 ‑iter 1001001
    ”%bin2%” %cmd_2% ‑out ”C:\OpenSSL\Pakattu.enc” ‑in ”C:\7Zip\Pakattu.7z” ‑pass stdin

    pura salaus

    set bin0=C:\Program Files\7‑zip\7z.exe
    ”%bin0%” x ‑y ‑o”C:\7Zip\Pakattu” ”C:\7Zip\Pakattu.7z”
    ”%bin0%” x ‑y ‑o”C:\7Zip\Media” ”C:\7Zip\Media.7z”

    set bin1=C:\Program Files (x86)\GNU\GnuPG\gpg.exe
    ”%bin1%” –output ”C:\GPG\Pakattu.7z” –decrypt ”C:\GPG\Pakattu.gpg.asc”

    set bin2=C:\Program Files (x86)\OpenSSL-Win32\bin\openssl.exe
    set cmd_2=aes-256-cbc ‑d ‑a ‑salt ‑md sha3-512 ‑iter 1001001
    ”%bin2%” %cmd_2% ‑out ”C:\OpenSSL\Pakattu.7z” ‑in ”C:\OpenSSL\Pakattu.enc” ‑pass stdin

  • Vastaa

    Sähköpostiosoitettasi ei julkaista.

    Lue seuraavaksi